為防止對開源供應鏈的攻擊,GitHub 在行動
在 2020 年 SolarWinds 網路間諜活動之後,一系列進一步的軟體供應鏈漏洞凸顯了確保軟體監管鏈安全的必要性。在這場間諜活動中,俄羅斯黑客滲透到一個廣泛使用的 IT 管理平台,並將受污染的升級程序悄悄帶入其中。由於開源項目從根本上來說是分散的,而且經常是臨時的活動,因此在這種背景下,這個問題尤其緊迫。GitHub 著名的 npm 註冊中心廣泛使用的 JavaScript 軟體包遭到一系列令人不安的黑客攻擊後,該公司前不久公布了一項戰略,以提供更好的開源安全保護。
代碼簽名平台 Sigstore 將由微軟旗下的 GitHub 支持,以用於 npm 軟體包。代碼簽名類似於數字蠟封。為了讓開源維護者更加容易地確認他們編寫的代碼是否與全球範圍內人們實際下載的軟體包中最終包含的代碼相同,跨行業協作促成了該工具的創建。
GitHub 並不是開源生態系統的唯一組成部分,但 Sigstore 的聯合開發者、Chainguard 的首席執行官 Dan Lorenc 指出,它是社區的一個重要樞紐,因為絕大多數項目都在這裡存儲和共享源代碼。然而,當開發人員真正想下載開源軟體或工具時,他們通常會通過軟體包管理進行。
通過讓包管理器可以使用 Sigstore,開發人員可以在 Sigstore 工具的幫助下,在軟體通過供應鏈時處理加密檢查和要求。這增加了產品流通過程中每個階段的透明度。Lorenc 說,許多人在得知這些完整性檢查尚未實施時感到震驚,開源生態系統中相當大的一部分長期以來一直依賴於盲目的信心。拜登政府於 2021 年 5 月發布了一項行政命令,主要涉及軟體供應鏈安全問題。
Linux 基金會、谷歌、紅帽、Purdue Universit 和 Chainguard 都對 Sigstore 的開發做出了貢獻。現在有了使用 Sigstore 為 Python 包發行版簽名的官方軟體,而且開發軟體的開源環境 Kubernetes 現在也支持它。
Sigstore 依靠免費和簡單易用來鼓勵採用,就像主要行業推動 HTTPS 網路加密一樣,這在很大程度上是由非營利組織 互聯網安全研究組 的 Let's Encrypt 等工具實現的。據 GitHub 稱,該項目會首先提出 Sigstore 將如何在 npm 中實現的建議,並在開放評論期徵求社區人員對該工具的精確部署策略的意見。然而,最終的目標是讓這樣的代碼簽名能夠被儘可能多的開源項目使用,從而讓對供應鏈的攻擊更加困難。
GitHub 的 Hutchings 說:「我們希望看到這樣一個世界,最終所有的軟體工件都被簽名並鏈接回源代碼,這就是為什麼構建像 Sigstore 這樣的開放技術棧是如此重要,其他打包存儲庫也可以採用這種技術。」
作者:Laveesh Kocher 選題:lkxed 譯者:lzx916 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive